Rapport Audit

R a p p o r t D ’ a u d i t

Préparé par : Guilhem Galiny - Youssef Skalli - Kevin Prouha - Laurent Crepin Date : 12 – 01 – 2012 Encadré par : Mr P. NASARRE

Réalisé par : Guilhem Galiny - Youssef Skalli - Kevin Prouha - Laurent Crepin

2

Sommaire :

I - PRESENTATION DU PROJET ......................................................................................................................... 3 LES ATTENTES .................................................................................................................................................... 3 LES OBJECTIFS .................................................................................................................................................... 3

1) Dans le cadre des besoins aux niveaux des reporting .................................................................... 3 2) Dans le cadre de l’évolution de l’informatique .............................................................................. 3 II -‐ Cadre de travail : ............................................................................................................................ 4 1) Absorbation de BEI & lydsis par G’UP ............................................................................................. 4 2) Différence entre les 3 structures informatiques .............................................................................. 4 III-‐ FRAPS ............................................................................................................................................ 5 1) FRAP n° 1: Méthode de reporting .................................................................................................. 5 2) FRAP n° 2: Sécurité réseau chez BEI & lydsis ................................................................................... 6 3) FRAP n° 3 : Architecture réseau chez BEI & lydsis .......................................................................... 7 IV -‐ Solutions Proposés ....................................................................................................................... 8 1) Installation d'un VPN entre les trois structures ............................................................................... 8 2) Utilisation des VPN basés sur SSL ................................................................................................... 8 3) Sauvegarde des données ................................................................................................................ 9 4) Gestion des Comptes et des Droits d’accès ..................................................................................... 9 5) Divers .............................................................................................................................................. 9


3

Présentation du projet :

Le projet étudié parle de la fusion de trois entreprises (Lydsis, BEI, G’UP) entre le 1er juillet et fin décembre 2012.

Attentes :

Le fait que l’informatique G’Up englobe les nouvelles entreprises et que les reportings (document de type rapport d’activité de l’entreprise permettant d’avoir des indicateurs numériques sur l’activité en fonction d’un point de vue défini et sur une période défini) entre les 3 structures soient sur une base unique.

Les objectifs :

1- Dans le cadre des besoins aux niveaux des reporting :

Proposer des solutions pour que, durant la phase de transition, l’entreprise puisse réaliser des reportings qui soient comparables entre les trois structures. En effet, les 3 structures n’ont pas les mêmes règles de travail, ni les mêmes méthodes et indicateurs.

Il faut donc rechercher des points et des indicateurs communs, voir en proposer de nouveaux pour que les reportings puissent être comparés.

2- Dans le cadre de l’évolution de l’informatique :

Rechercher et appréhender les problèmes et préconiser des solutions quand à une nouvelle organisation informatique des trois structures sur le plan humain et technique et sur le plan de leurs prestataires informatiques. En effet, Lydsis n’aura plus d’installation informatique après la cession finale.

BEI dispose d’un parc logiciel différent de celui de G’UP, et même si une équipe informatique interne existe, c’est une SSII qui a réalisé la totalité du paramétrage de l’Open-ERP utilisé, il faut donc obligatoirement passer par ce prestataire.


4

Cadre de travail

1 - La société G’UP absorbe 2 autres sociétés pour en faire des enseignes avec les points suivants :

A. La fusion juridique se termine en mai 2012 pour l’une et décembre 2012 pour l’autre, laissant le temps à tous les aspects juridiques y compris soient traités et réglés.

B. L’objectif est de conserver le personnel de chacune des entreprises. C. BEI est acquise pour intégrer le catalogue de ses produits dans celui de G’UP. D. Lydsis est acquise pour disposer d’un atelier de fabrication de produit spécifique

performant et complétant l’activité de G’UP.

2 - L’informatique des 3 structures est différente :

A. G’UP dispose d’une équipe informatique et travaille depuis 10 ans avec un prestataire informatique (SSII).

B. Les outils informatiques de BEI s’appuient sur une gamme SAGE (logiciel de traitement) dont les données sont récupérables.

C. G’UP reprend l’informatique de Lydsis sur le plan logiciel, ainsi que pour les données.


5

Feuille de révélation et d'analyse de problèmes n° 1: Méthode de reporting (Les trois structures, méthode de travail)

Problème : Impossibilité d'exploitation efficace des données du reporting. Constat : Ø Les trois structures présentent des méthodes de reporting différentes, et ayant peu de point communs entres elles. Ø G-up: gère une grande quantité de données, notamment sur les délais de productions et de rotation, couverture du stock. Fonctionnement en flux tiré, via un retro planning. Ø BEI: présentent des indicateurs en commun avec G-up, mais en quantité moindre, via un retro planning. Ils gèrent les rotations, couvertures de stock, mais ont moins de paramètres dans les délais de production. Ø Lydsis: fonctionnement en flux poussés, via un planning classique. Les délais sont finement gérés mais pas les rotations, couverture de stock. Causes:

Les trois structures ayant été totalement indépendantes les unes des autres avant cette proposition de fusion, les méthodes de travail et d'organisation de ces structures sont différentes. Conséquences : Ø Impossibilité de mise en commun des données de reporting des trois structures dans une même base de données. Ø Impossibilité de faire des comparatifs, analyses et autres travaux sur l'ensemble des données. Ø Difficulté de mise en place d'améliorations de la productivité sur la base des données récoltées. Recommandations : Ø Mise en place d'une méthode de reporting commune entre les trois structures, basée sur une simplification de celles de G-up. Ø Harmonisation des logiciels de reporting, pour une compatibilité de format de fichiers. Ø Exploiter le projet de G-up de simplification des reportings comme base de travail. Ø Simplifier les reportings de G-up en gardant les points communs avec les autres structures.


6

Feuille de révélation et d'analyse de problèmes n° 2: Sécurité réseau chez BEI & lydsis (BEI & Lydsis, matériel & sécurité)

Problème :

Pour ces deux structures, risque d'accès aux données à des personnes non autorisées et de manipulations frauduleuses sur celles ci. Constat : Ø Pas de définition de droits d'accès des utilisateurs sur les postes. Ø Pas d'authentification via mot de passe. Ø Pas de définition de comptes utilisateurs. Ø Absence des classes de Privilèges Causes :

Le système n'a pas été conçu autour d'un réseau NT et d'un système de comptes utilisateurs centralisés. Conséquences : Ø Liberté d'accès aux données d'une machine par n'importe quel individu ayant accès à celle-ci. Ø Pas de limitation d'accès à la base de données pour Lydsis et aux serveurs de fichiers pour BEI (voir fiche numéro 3 pour plus d'information). Ø Risque de Vol de données (perte de confidentialité) Ø Risque d’altération de données (perte d'intégrité) Ø Risque de destruction de données (remise en cause de la continuité d'activité) Ø Risque d’augmentation du niveau de privilèges d'un utilisateur d'une application (sécurité, espionnage) Recommandations : Ø Mettre en place un nom de domaine, un système de compte d'utilisateurs et de gestion des droits d'accès aux logiciels, aux fichiers et aux dossiers sur chaque machine. Ø Attribuer un compte utilisateur à chaque employé, chacun ayant les droits nécessaires pour son poste. Ø Identifier les utilisateurs ayant besoin d'un accès à la base de données, ils peuvent être de différents types : § Administrateur § Application § Utilisateur Ø Limiter l'accès des utilisateurs aux machines spécifiques (serveurs, poste du gestionnaire, etc.), ou limiter l'accès aux logiciels spécifiques d'une machines si l'utilisateur n'a pas les droits.


7

Feuille de révélation et d'analyse de problèmes n° 3: Architecture réseau chez BEI & Lydsis

(BEI & Lydsis, matériel et organisation) Problème : Pour ces deux structures, risque de pertes des données sans possibilités de récupération. Constat : Ø Lydsis : présence d'un serveur, pas de copie de sauvegarde des données. Absence de traceur réseau. Routeur ADSL SFR. Ø BEI: pas de serveur, mais une machine faisant office de serveur de fichiers, pas de sauvegarde automatique, ni externe. Présence de deux traceurs réseaux. Routeur ADSL Orange. Causes : Ø Lydsis : choix imposé par la maison mère, sur une installation déjà en place à l'arrivé dans les locaux. Ø BEI: Ces choix ont été faits à l'époque, sous la préconisation de l'installateur par le prestataire informatique de l'époque, par voie de facilité. Conséquences : Ø Lydsis : risque de perte de données en cas de mal fonction du serveur, avec impossibilité de récupération. Perte de temps et d'historique des commandes, clients, et autres données. Perte de temps et d'argent pour la récupération de ceux cis. Ø BEI: temps d'accès aux données long et complexe. Risque de perte sans récupération de données, historique de commandes, clients, et autres. Perte de temps et d'argent pour la récupération de ceux cis. Recommandations : Ø Mettre en place un système de sauvegarde automatique des données, et de copie de sauvegarde externe. Ø BEI : mettre en place un réel serveur de données. Ø Sauvegarde sur un serveur d'entreprise (Centralisé), dont les données sont sauvegardées sur copie de sauvegarde.


8

Solutions proposées :

1) Installation d'un VPN entre les trois structures, celui ci reliant Bei et Lydsis à G-up, ce qui permettra de :

Dans le cas étudié, il est conseillé d’utiliser un VPN qui relie les 3 entreprises, celui ci permettra de :

Ø Réaliser des connexions à distance pour des utilisateurs mobiles ou télétravailleurs des trois structures.

Ø Réaliser des interconnexions Lan to Lan (contrôlés et sécurisés). Ø Economiser les budgets alloués à la connectivité. Ces économies sont obtenues en

remplaçant les connexions longues distances entre les trois sociétés via des lignes louées privées par une connexion unique à Internet sur laquelle on implémente des tunnels VPN.

Ø Avoir un système évolutif : Dans le cas ou l’une des entreprise aimerait ajouter un nouveau site, ce dernier se ferra simplement en le connectant à Internet et en l'incluant sur le VPN d'entreprise. Il sera ainsi très facilement intégré sur l'intranet commun.

2) Utilisation des VPN basés sur SSL :

Un VPN fournit un accès sécurisé (via un tunnel dédicacé) vers des applications spécifiques de l'entreprise. Le grand avantage de cette méthode réside dans sa simplicité: on utilise seulement son browser habituel et on n'utilise pas de client spécifique ou de matériel spécifique.

Avec SSL VPN, les utilisateurs distants ou les utilisateurs mobiles des 3 entreprises peuvent avoir un accès à des applications bien déterminées sur l'intranet de leur organisation depuis n'importe quel accès Internet. On accède uniquement aux services qui ont été définis pas l'administrateur du VPN (par exemple les portails et sites Web, les fichiers ou le courrier électronique), ce qui permettra de bien sécuriser l’intranet.


9

3) Sauvegarde des données.

Ø Mise en place d'un serveur de sauvegarde dans les structures BEI et Lydsis. Ø Données de reporting stockées sur les serveurs de chaque structure. Ø Sauvegarde quotidienne sur serveur externe. Ø Upload quotidien des données de reporting sur les serveurs de G – up.

N.B :

Pour les raisons de changement de statut des structures, il est nécessaire de laisser les anciens systèmes (gestion de garantis, suivi des commandes, etc. ...) de BEI & Lydsis fonctionnels jusqu'à la date de fin de la dernière extension de garantie du dernier produit commandé avant le changement de statu de ces structures.

4) Gestion des Comptes et des Droits d’accès.

Ø Restreindre l'accès aux machines spécifiques (serveurs, PC gestionnaire, etc. …) aux utilisateurs spécifiques au sein du VPN.

Ø Attribution d’un compte utilisateur pour chaque employé, en donnant des droits d'utilisateurs restreints aux nécessités et besoins de chaque employé.

Ø Classifier les employés des 3 entreprises en sous catégories, ce qui facilitera l’attribution de leur droits d’accès.

5) Divers :

Ø Création/mise à jour du logiciel de reporting : Ø Simplification de la méthode de reporting de G-up en diminuant le nombre de

paramètres. Ø Demander à la SSII Gap'Synt de concevoir une mise à jour de l'ERP, ou d'en

concevoir un nouveau. Ø Imposer cette méthode de reporting aux structures BEI et Lydsis Ø Organiser l'architecture réseau des structures Lydsis et BEI autour d'un

domaine NT.

Rapport Audit

Documents

Transcript of Rapport Audit